Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевой червь Win32.HLLW.Shadow.based

Ответить
Настройки темы
[решено] Сетевой червь Win32.HLLW.Shadow.based

Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Всем добрый день!!!!
Вчера на боевом сервере обнаружил что не отображаются системные/скрытые файлы и папки. Поиском в интернете нашел много ссылок на данный вирус ( Сетевой червь Win32.HLLW.Shadow.based).
А дня за 2 до этого антивирус Symantec заблокировал подозрительный процесс Explorer.exe в папке system32, и после того как зашел на сервер под различными пользователями автоматически открывалась папка мои документы. После этого поправил реестр в ветке winlogon, параметр userinit (удалил от туда Explorer). И вот после этого в windows 2k3 перестали отображаться системные/скрытые файлы и папки, но Total Comander их видит.
После этого все сделал как вот этой статье http://news.drweb.com/show/?i=204, DrWeb CureIt нашел вирус Win32.HLLW.Shadow.based в виде библиотеки в system32, но удалить не смог, т.к я понимаю это уже сделал Symantec.
Дальнейшее сканирование с помощью DrWeb CureIt результатов не дает, может вируса уже и нет, но хочется уж точно в этом убедиться что бы подключить его к сети. И системные/скрытые файлы и папки до сих пор не отображаются!!!!
Хочу действовать как в этой статье http://forum.oszone.net/post-717373.html, прошу помощи в обработки логови дальнейшей помощи!!!!

Отправлено: 10:39, 16-07-2013

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 4563
Благодарности: 1116

Профиль | Отправить PM | Цитировать


Цитата zavoruev:
прошу помощи в обработки логов »
А где логи?

Отправлено: 11:09, 16-07-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip virusinfo_syscure.zip
(84.2 Kb, 6 просмотров)
Тип файла: zip virusinfo_syscheck.zip
(83.1 Kb, 2 просмотров)
Тип файла: txt info.txt
(45.0 Kb, 2 просмотров)
Тип файла: txt log.txt
(90.7 Kb, 3 просмотров)

Пока писал пост был в процессе создания логов)!!! Прошу прощения!!!

И еще один вопрос, после создания отчета скрипт №2, компьютер при перезагрузке висел на сохранение параметров минут 25-30. Не дождался перегрузил через кнопку. Что в этот момент могло сохраняться и не повлияло ли это на лечение проводимое скриптом №2???

Отправлено: 12:15, 16-07-2013 | #3


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Посмотрите Логииииииииии))))!!!

Системные/скрытые файлы и папки вылечил как сказано здесь http://forum.ixbt.com/topic.cgi?id=22:67617-2
а точнее, зарегистировал библиотеку
Цитата:
regsvr32 /i shell32.dll

Последний раз редактировалось zavoruev, 16-07-2013 в 13:55.


Отправлено: 13:49, 16-07-2013 | #4


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Товарищи, помогите проанализировать собранные логи!!!! Сервер надо уже допускать до сети))!!!

Отправлено: 17:25, 16-07-2013 | #5


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Win32.HLLW.Shadow.based - это если мне не изменяет память сетевой червяк Kido

Обновления для системы все установлены? Утилитой Kidokiller проверялись?

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 17:56, 16-07-2013 | #6


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата thyrex:
Утилитой Kidokiller проверялись? »
Нет, не проверял! Все свои действия я описал выше!!!) Больше ничего не делал.

Цитата thyrex:
Обновления для системы все установлены? »
Да конечно, и все заплатки.

И еще у меня в автозагрузке было вот это
Код: Выделить весь код
HKCU\..\Run: wsctf.exe
Поиск данного файла ничего не дал!!!! В реестре HKCU и HCLM записей в Run о нем то же нет!!!

Отправлено: 18:05, 16-07-2013 | #7


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Цитата zavoruev:
И еще у меня в автозагрузке было вот это »
Не факт, что это не от системы

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 18:22, 16-07-2013 | #8


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата thyrex:
Не факт, что это не от системы »
http://virusinfo.info/showthread.php?t=84132 Об этом говорили на форуме Virusinfo.info, так что за что купил, за то и продаю))) Да и симптомы были схожи с моими!!!

Так что на счет этого????
Цитата zavoruev:
Товарищи, помогите проанализировать собранные логи!!!! Сервер надо уже допускать до сети))!!! »
Да, сканирование с помощью kidokiller ничего не дал
Цитата:
et-Worm.Win32.Kido removing tool, Kaspersky Lab 2010
version 3.4.14 Mar 19 2010 10:17:17
scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Администратор\Application Data ...
scanning C:\DOCUME~1\9335~1\LOCALS~1\Temp\ ...
scanning Flash drives ...
scanning E:\ ...

completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Spliced functions: 0
Cured files: 0
Fixed registry keys: 0
Что делать дальше??? Допускать сервер до рабочей сети?!!!

Отправлено: 18:27, 16-07-2013 | #9


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Запускайте

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 19:38, 16-07-2013 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевой червь Win32.HLLW.Shadow.based

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Модифицированный Win32/Dorkbot.B червь Rarog14 Лечение систем от вредоносных программ 8 22-11-2012 16:34
червь Worm.Win32.Riskrun.a oli Лечение систем от вредоносных программ 4 24-11-2011 03:27
[решено] Не могу победить Win32.HLLW.Autoruner.5555 СаркозаН Лечение систем от вредоносных программ 5 27-02-2011 14:31
[решено] Выявление Win32.HLLW.Shadow PsyDuck Лечение систем от вредоносных программ 4 28-07-2010 16:16
Помогите на компьютере Win32.HLLW.Autoruner.1887 irchik Лечение систем от вредоносных программ 1 06-05-2010 11:29




 
Переход